Un actor de amenaza sin nombre vinculado a China denominado Chaya_004 se ha observado explotando una defecto de seguridad recientemente revelada en SAP Netweaver.
Forescout Vedere Labs, en un crónica publicado el jueves, dijo que descubrió una infraestructura maliciosa que probablemente se asocia con el congregación de piratería armado CVE-2025-31324 (puntaje CVSS: 10.0) desde el 29 de abril de 2025.
CVE-2025-31324 se refiere a una defecto crítica de SAP NetWeaver que permite a los atacantes obtener la ejecución de código remoto (RCE) cargando los shells web a través de un punto final “/Developmentserver/metadatauploader”.
La vulnerabilidad fue marcada por primera vez por Reliaquest a fines del mes pasado, cuando encontró que la deficiencia fue abusada en ataques del mundo positivo por actores de amenaza desconocidos para que eliminen los proyectiles web y el entorno Brute Ratel C4 posteriormente de la explotación.
Según Onapsis, cientos de sistemas de SAP a nivel mundial han sido víctimas de ataques que abarcan industrias y geografías, incluidas energía y servicios públicos, fabricación, medios y entretenimiento, petróleo y gas, productos farmacéuticos, minoristas y organizaciones gubernamentales.
La firma de seguridad de SAP dijo que observó la actividad de examen que involucraba “pruebas con cargas bártulos específicas contra esta vulnerabilidad” contra sus honeypots hasta el 20 de enero de 2025. Se observaron compromisos exitosos en la implementación de proyectiles web entre el 14 de marzo y el 31 de marzo.
Mandiant, propiedad de Google, que todavía se dedica a los esfuerzos de respuesta a incidentes relacionados con estos ataques, tiene evidencia de la primera explotación conocida que ocurre el 12 de marzo de 2025.
En los últimos días, se dice que los actores de múltiples amenazas saltaron a lado del tren de explotación para atacar de guisa oportunista a los sistemas vulnerables para implementar proyectiles web e incluso socavar la criptomoneda.
Esto, según forescout, todavía incluye Chaya_004, que ha alojado un shell inverso basado en la web escrito en Golang llamado SuperShell en la dirección IP 47.97.42 (.) 177. La compañía de seguridad de la tecnología operativa (OT) dijo que extrajo la dirección IP de un binario ELF llamado Config que se usó en el ataque.
“En la misma dirección IP que aloja SuperShell (47.97.42 (.) 177), todavía identificamos varios otros puertos abiertos, incluidos 3232/http utilizando un certificado anomaloso de autofirmado que se hace producirse por CloudFlare con las siguientes propiedades: Sujeto DN: C = US, O = O = Inc, Inc, CN =: 3232,” Forescout Investigadores y Luca BarbAs.
Un descomposición posterior ha descubierto que el actor de amenazas debe ser alojamiento de varias herramientas a través de la infraestructura: NPS, VPN suave, huelga de cobalto, faro de examen de activos (ARL), Pocassit, Gosint y Go Simple Tunnel.
“El uso de proveedores de nubes chinos y varias herramientas en idioma chino apuntan a un actor de amenaza que probablemente se apoyo en China”, agregaron los investigadores.
Para defenderse de los ataques, es esencial que los usuarios apliquen los parches lo antiguamente posible, si no aún, restringen el acercamiento al punto final del cargador de metadatos, deshabilite el servicio de compositor visual si no está en uso y monitorea para una actividad sospechosa.
Onapsis CTO Juan Pablo JP Perez-Detchegoyen le dijo a The Hacker News que la actividad destacada por Froscout es posteriormente del detener, y que “expandirá aún más la amenaza de servirse los shells implementados no solo a los actores oportunistas (y potencialmente menos sofisticados), sino todavía a los más avanzados y más avanzados han sido rápidos a este problema a los compromisos existentes existentes como los comprandados existentes) y más a más de la amenaza”, sino que más avanzados han sido rápidos a este problema a los compromisos existentes existentes.
